Novità privacy: Nuove sanzioni milionarie e vecchi problemi da Covid-19
Panorama italiano
Garante per la protezione dei dati personali
Al via i lavori per Regole Deontologiche in ambito statistico
Il Garante ha comunicato di aver avviato i lavori che porteranno all’adozione di regole deontologiche che disciplineranno il trattamento dei dati personali in ambito statistico. Le Regole dovranno essere predisposte dall’Istat e dagli altri soggetti Sistan e poi approvate dall’Autorità, chiamata a verificarne la conformità al Regolamento e al Codice privacy. L’Autorità definirà i criteri generali per individuare, nel rispetto del principio di rappresentatività, i soggetti chiamati a sottoscrivere le nuove regole in una delibera in corso di pubblicazione sulla Gazzetta Ufficiale. Una volta definite, le regole diventeranno vere e proprie condizioni di liceità dei trattamenti a cui fanno riferimento. [03.05.21]
Garante per la protezione dei dati personali
Aperta istruttoria sul "Coronapass” del Trentino Alto Adige
Il Garante ha comunicato di aver aperto un’istruttoria avente ad oggetto il “Coronapass” del Trentino Alto Adige, certificazione vaccinale che permetterà l’accesso a determinate strutture ed eventi solo a quanti hanno completato il ciclo di vaccinazione, a chi è guarito dal Covid o ha da poco eseguito un test negativo. L’Autorità, sulla scia dei rilievi critici che erano già stati avanzati al Governo in relazione a progetti simili, ha ribadito che i trattamenti dei dati personali connessi all’avvio di iniziative di questo genere, in quanto fortemente limitanti i diritti e le libertà delle persone, può avvenire solo nel quadro di un’idonea base giuridica, a seguito di una valutazione dei rischi e con l’adozione di adeguate misure a tutela degli interessati. Il Garante ha infine reso noto di aver inviato una comunicazione alla Provincia autonoma di Bolzano in cui esprime riserbo in merito ad ogni valutazione in ordine all’adozione di provvedimenti di blocco del trattamento. [30.04.21]
Dal mondo
EBA (Autorità bancaria europea)
Proposto un database centralizzato per finalità antiriciclaggio e antiterrorismo
L’Autorità bancaria europea ha aperto una consultazione pubblica sulla propria proposta di regolamento tecnico degli standard relativi alla creazione di una banca dati centralizzata per finalità di antiriciclaggio e antiterrorismo. L’Autorità sottolinea come questa banca dati sarà fondamentale per individuare le vulnerabilità degli istituti finanziari, al fine di implementare correttivi che impediscano che esse siano sfruttate per le suddette finalità illecite. La creazione della banca dati in oggetto comporterà trattamenti di dati personali che dovranno avvenire compatibilmente al GDPR. A riguardo, l’EBA ha reso disponibile un sunto dei principali punti della DPIA condotta. [06.05.21]
Leggi il comunicato e accedi alla proposta.
NOYB (None Of Your Business)
Pubblicata la replica inviata al Garante austriaco in risposta alla difesa di Google sul trasferimento illecito di dati in USA
NOYB – organizzazione non profit attiva nel ramo della protezione dei dati – ha pubblicato la replica inviata al Garante austriaco in risposta alla memoria di Google nell’ambito di alcuni dei 101 ricorsi aventi ad oggetto il trasferimento illecito dei dati negli USA (a Google e Facebook) da parte di altrettanti siti europei, che l’organizzazione stessa aveva presentato nell’agosto 2020. La risposta sottolinea come le difese di Google sull’aver adottato misure supplementari utili ad impedire che le agenzie per la sicurezza nazionale USA possano avere accesso ai dati siano palesemente da rigettarsi, dato che le misure in oggetto costituirebbero semplici misure di protezione standard che qualsiasi piccolo sito web implementa. In chiusura, NOYB ha sottolineato come l’Autorità austriaca abbia un’occasione d’oro per irrogare una sanzione di 6 miliardi di euro che rappresenti un messaggio di sensibilità verso le libertà e i diritti fondamentali degli interessati europei. [06.05.21]
Spotify
La nuova tecnologia brevettata mette a rischio la privacy degli utenti
180 musicisti e circa 50 organizzazioni a tutela dei diritti umani hanno inviato una lettera aperta a Spotify in cui esprimono preoccupazioni per la nuova tecnologia brevettata dall’app di streaming musicale, la quale dovrebbe permettere di monitorare i rumori di fondo (compresa la voce degli utenti) all’applicazione, al fine di migliorare il servizio di proposta della musica raccomandata. Fra le preoccupazioni, particolare rilievo assumono quelle relative alla violazione dei diritti privacy degli utenti, nonché alla sicurezza dei dati che verranno raccolti da questa tecnologia. I firmatari chiedono dunque una dichiarazione pubblica con cui la società si impegna a non utilizzare, implementare o acquistare tecnologie e brevetti simili. [04.05.21]
Convenzione 108+
I programmi di vaccinazione Covid-19 garantiscano la protezione dei dati
La Commissione Consultiva della Convenzione 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati personali ha pubblicato un documento in cui richiama gli Stati firmatari della Convenzione ad adottare misure di salvaguardia dei dati nell’ambito dei programmi di vaccinazione Covid-19. Al pari di quanto già dichiarato sul tema dalle istituzioni europee, la Commissione 108 sottolinea l’importanza di un’informativa trasparente agli interessati, del divieto di violazione del principio di non discriminazione e dell’adozione di idonee misure tecniche (ad esempio, il salvataggio dei dati non centralizzato). [03.05.21]
Autorità garanti estere
AEPD (Autorità garante spagnola per la protezione dei dati) - Sanzione da 1.5 milioni a EDP Comercializadora
Il Garante spagnolo ha sanzionato EDP Comercializadora – fornitore spagnolo di gas – per un ammontare totale pari a 1.5 milioni di euro. Le violazioni riscontrate dall’Autorità sono state: (i) la mancata implementazione di misure tecniche e organizzative adeguate per la sicurezza del trattamento, e (ii) le lacune dell’informativa ex art. 13 GDPR. In particolare, il Garante ha sottolineato come non esistesse una procedura che permettesse agli interessati di assicurarsi che coloro che si presentavano come agenti della società lo fossero effettivamente, esponendo così i dati degli stessi a svariati rischi, primo fra tutti il furto d’identità. [04.05.21]
CNIL (Autorità garante francese per la protezione dei dati)
Chiusa l’ingiunzione pronunciata contro Google
Il Garante francese ha comunicato di aver chiuso il procedimento di ingiunzione che aveva portato all’irrogazione di una sanzione pari a 100 milioni verso Google (60 milioni) e la sua controllata irlandese (40 milioni) per illiceità del trattamento legate ai cookies. L’Autorità ha reso noto che Google ha ottemperato alle prescrizioni del provvedimento sanzionatorio che imponevano di chiarire sulla pagina principale di google.fr le finalità dei cookies sottoposti a consenso del trattamento e i metodi a disposizione dell’interessato per la loro disattivazione. Il Garante ha sottolineato come il provvedimento di chiusura non vale a ritenere che il trattamento cookies attuale di Google sia conforme alle nuove regole in materia, dato che l’Autorità non ha condotto una verifica in questo senso. [04.05.21]
Datatilsynet (Autorità garante norvegese per la protezione dei dati)
Notificata bozza di provvedimento sanzionatorio da 2.5 milioni a Disqus Inc. per tracking illecito
Il Garante norvegese ha reso noto di aver inviato alla società statunitense Disqus Inc. – provider di una piattaforma di hosting per siti web che offre agli utenti la funzione “commentare” – una bozza di provvedimento sanzionatorio da 2.5 milioni per illiceità del trattamento consistenti nel tracking illecito degli utenti dei siti web che si appoggiavano sul servizio. L’istruttoria dell’Autorità avrebbe rilevato che i dati raccolti illecitamente dalla piattaforma sarebbero poi stati venduti a partner commerciali. La società ha tempo fino al 31 maggio per poter presentare rilievi che, quanto meno, abbassino l’ammontare sanzionatorio. [02.05.21]
Autoriteit Persoonsgegevens (Autorità garante olandese per la protezione dei dati)
Alcuni problemi pratici su certe tecniche di anonimizzazione
Il Garante olandese ha pubblicato qualche chiarimento su alcune tecniche di anonimizzazione, partendo dal presupposto che, sulla base dell’esperienza maturata nell’ambito delle proprie attività ispettive, spesso i titolari del trattamento implementano tali tecniche in modo erroneo. L’Autorità sottolinea come i chiarimenti pubblicati non rappresentino dei consigli di natura tecnica o legale poiché la corretta implementazione delle tecniche di anonimizzazione è valutabile solo in relazione alle specifiche circostanze che interessano la realtà organizzativa del titolare. [30.04.21]
ICO (Autorità garante inglese per la protezione dei dati)
Implementato servizio di prima consulenza gratuita per le PMI
Il Garante inglese ha implementato un servizio di prima consulenza gratuita per le PMI inglesi, le quali potranno fare richiesta affinché un membro del team PMI dell’Autorità offra due ore di sessione informale gratuita volta a verificare come l’organizzazione potrebbe fare per trattare i dati in maniera migliore. L’Autorità sottolinea come un corretto trattamento dei dati, oltre che ad essere imposto dalla normativa, rappresenti un asset strategico per lo sviluppo commerciale delle PMI inglesi. [30.04.21]
Persònu Vernd (Autorità garante islandese per la protezione dei dati)
Sanzionata InfoMentor a seguito di data breach per non aver adottato misure di sicurezza idonee
Il Garante islandese ha comunicato di aver sanzionato la società InfoMentor per un ammontare di oltre 20.000 euro, a seguito di un’istruttoria avviata per far luce sul data breach verificatosi nel febbraio 2019 in occasione della quale due soggetti non autorizzati hanno potuto accedere agli identificativi di oltre 400 bambini sfruttando la visibilità nell’URL del numero pseudonimo che il sistema attribuiva ad ogni studente. L’Autorità ha ravvisato che il titolare aveva omesso di adottare le misure di sicurezza adeguate che, seppur note, non erano state implementate a pieno a causa di un errore umano. [29.04.21]
AZOP (Autorità garante croata per la protezione dei dati)
Avviata istruttoria sull’eliminazione dei dati personali dei registranti per la vaccinazione Covid dalla relativa piattaforma online
Il Garante croato ha comunicato di aver avviato un’istruttoria contro il Ministero della Salute croato relativa all’eliminazione dei dati personali di circa 4000 cittadini croati che si erano registrati alla piattaforma online “Cijepise” per prenotare la vaccinazione Covid-19. L’Autorità ha inoltre voluto informare tutti i cittadini croati che, in quanto interessati, possono esercitare verso il Ministero i diritti privacy, primo fra tutti il diritto di accesso. [27.04.21]
